Smarte Abzocke
Smarte Abzocke
Mit einem Smartphone kann man tausende von angeblich kostenlosen Apps laden, nur viele davon werden schnell richtig teuer.
In den App-Stores von Android und Apple wimmelt es von übler Software vom Datenklau über Abo-Fallen, SMS-Abzocke bis hin zum Abräumen des Girokontos.
Besonders Letzteres setzt allerdings einiges an Naivität voraus. Es geht um das SMS-Tan-System beim Online-Banking, wobei die TANs per SMS auf ein Handy geschickt werden.
Die Attacke beginnt auf dem PC des Opfers. Mit einem dort eingeschmuggelten Trojaner (Kein Virenscanner) spähen die Angreifer zunächst die Kontodaten aus. Dann wird ihm vorgegaukelt, er müsse sein Android-Smartphone mit einem Sicherheits-Update schützen (schreibt keine Bank). Nun muss das Opfer seine Handy-Nummer angeben (Bank fragt so etwas nicht). An diese Nummer wird dann eine SMS mit einem Link zu dem vermeintlichen Sicherheits-Update verschickt. Wer den Link anklickt (Fehler 4) hat damit alle SMS, die eine mTAN enthalten, an das Handy des Gauners umgeleitet. Die bei der Polizei eingegangenen Anzeigen demonstrieren, dass es immer noch Leute gibt, die darauf reinfallen.
Eine App an sich kann keinen Schaden im System anrichten denn sie läuft in einer sog. Sandbox. Von diesem Sandkasten aus ist keine Zugriff auf andere Apps möglich, weshalb Virenscanner, letztlich auch nur Apps, keine üble App an ihrem schändlichen Tun hindern können.
Es ist empfehlenswert, nur von den offiziellen Stores von Apple, Google und Microsoft Apps herunter zu laden. Das mindert das Risiko, schließt es aber nicht aus. Diese Anbieter testen zwar jede App, aber sicher sind die Tests auch nicht.
Viel mehr kann der Anwender selbst tun. Bei Apple kann man einige Dinge global sperren, sonst wird vor datenschutzrelevante Zugriffe gewarnt und eine Kennwort-Eingabe verlangt.
Unter Android und Windows-Phone müssen alle Berechtigungen bestätigt werden. Eine App kann bei der Installation vieles fordern, unter anderem Anrufe und SMS lesen oder selbst tätigen, Systemeinstellungen verändern und sogar vollen Internetzugriff.
Diesen Berechtigungen muss man zustimmen, um die Apps überhaupt installieren zu können. Dasselbe gilt für Updates, mit denen Apps ihre Berechtigung häufig noch erweitern. Entweder akzeptiert der Kunde die eingeforderten Berechtigungen oder er kann die App nicht nutzen.
Sollte er auch nicht, denn es gibt keinen Grund, warum eine angebliche Spiele-App beispielsweise SMS senden müsste. Und was auch immer die Begründung sein sollte, glauben Sie es nicht. So gab es eine App, die forderte die Berechtigung für SMS und Internet-Zugriff an. Weil das nicht verboten ist, kam sie durch die Google-Kontrolle. Doch lud diese App eine andere nach und die verschickte teuere Premium-SMS.
SMS zu erlauben ist auch aus einem anderen Grund ein grober Fehler. So werden neuerdings SMS versendet, die einen Link zu einem Spiel wie z.B. Angry Birds als kostenlose Vollversion versprechen aber tatsächlich das Android-Phone in ein BOT-Netz einbinden. Das versendet dann täglich so an die 100 Spam-Mails mit der Folge, dass das Handy ganz schnell auf Schleichfahrt geht.
In diesem Fall kommt noch hinzu, dass man auch noch das Installieren von Apps aus nicht vertrauenswürdigen Quellen erlauben muss, ein eh bodenloser Leichtsinn.
Neben diesen Malware-Programmen gibt es unzählige Fake-Apps, die zwar mit bekannten Namen oder beliebten Funktionen werben, aber keinen Schadcode enthalten. Die kosten zwar oft Geld, jedoch meist mit 79 oder 99 Cent deutlich weniger als die Originale. Das war’s dann aber auch. Ein paar dumme Sprüche, mehr gibt es nicht für’s Geld.
Ein übler Trick sind auch die Light-Versionen bekannter Programme. Die sind dann so weit eingeschränkt, dass sie praktisch kaum brauchbar sind. Und der teuere Update-Button lauert ganz dicht bei denen für das Spiel.
Ein anderer Trick sind In-App-Käufe. Diese meist in Spielen eingesetzte Methode versucht die Sucht und den Ehrgeiz der Spieler zu nutzen. So kann man im Abenteuerspielen wie Infinity Blade zusätzliches Spielgeld für echte Euro kaufen um damit seine Ausrüstung zu erweitern. Der größte Abzocker ist „Monster Pet Shop“. Die verlangen 79,99 echte Euro für einen Sack virtueller Monsterbeeren.
Also Vorsicht liebe Großmütter. Den Enkeln ein Smartphone zu schenken und versprechen die Rechnung zu zahlen kann teuer werden. Auch für Abos, etwa für Klingeltöne oder so einen totalen Unsinn wie eine verlängerte Akkulaufzeit, kann man viel Geld loswerden, z.B. 9,99 Euro/Monat über 2 Jahre. Seit August 2012 muss zwar die sog. Button-Lösung vorwarnen, aber das ist ein deutsches Gesetzt, Besser ist es seinen Provider anzurufen und das WAP-Billing abschalten zu lassen.
Zum Schluss die traurige Nachricht. Ich habe bisher behauptet, dass es keinen Virus gibt, der ohne Zutun des Users installiert werden kann. Nun aber gibt es in Geräten von Samsung eine Sicherheitslücke, über die bösartige Apps ohne Mitwirkung des Users eingeschleust werden können. Betroffen sind das Galaxy S2 und S3, Note, Note 2 und Note 10.1 sowie das Galaxy Tab 7.7.
Samsung verspricht ein Update, nennt aber keinen Termin. Einige Bastler bieten Workarounds an, vor denen ich nur warnen kann. Eine andere Lücke oder ein Ausfall der Kamera wären die Folgen. Besser ist es auf das Update zu warten und bis dahin gar keine Apps oder nur solche aus den offiziellen Quellen zu installlieren.
In den App-Stores von Android und Apple wimmelt es von übler Software vom Datenklau über Abo-Fallen, SMS-Abzocke bis hin zum Abräumen des Girokontos.
Besonders Letzteres setzt allerdings einiges an Naivität voraus. Es geht um das SMS-Tan-System beim Online-Banking, wobei die TANs per SMS auf ein Handy geschickt werden.
Die Attacke beginnt auf dem PC des Opfers. Mit einem dort eingeschmuggelten Trojaner (Kein Virenscanner) spähen die Angreifer zunächst die Kontodaten aus. Dann wird ihm vorgegaukelt, er müsse sein Android-Smartphone mit einem Sicherheits-Update schützen (schreibt keine Bank). Nun muss das Opfer seine Handy-Nummer angeben (Bank fragt so etwas nicht). An diese Nummer wird dann eine SMS mit einem Link zu dem vermeintlichen Sicherheits-Update verschickt. Wer den Link anklickt (Fehler 4) hat damit alle SMS, die eine mTAN enthalten, an das Handy des Gauners umgeleitet. Die bei der Polizei eingegangenen Anzeigen demonstrieren, dass es immer noch Leute gibt, die darauf reinfallen.
Eine App an sich kann keinen Schaden im System anrichten denn sie läuft in einer sog. Sandbox. Von diesem Sandkasten aus ist keine Zugriff auf andere Apps möglich, weshalb Virenscanner, letztlich auch nur Apps, keine üble App an ihrem schändlichen Tun hindern können.
Es ist empfehlenswert, nur von den offiziellen Stores von Apple, Google und Microsoft Apps herunter zu laden. Das mindert das Risiko, schließt es aber nicht aus. Diese Anbieter testen zwar jede App, aber sicher sind die Tests auch nicht.
Viel mehr kann der Anwender selbst tun. Bei Apple kann man einige Dinge global sperren, sonst wird vor datenschutzrelevante Zugriffe gewarnt und eine Kennwort-Eingabe verlangt.
Unter Android und Windows-Phone müssen alle Berechtigungen bestätigt werden. Eine App kann bei der Installation vieles fordern, unter anderem Anrufe und SMS lesen oder selbst tätigen, Systemeinstellungen verändern und sogar vollen Internetzugriff.
Diesen Berechtigungen muss man zustimmen, um die Apps überhaupt installieren zu können. Dasselbe gilt für Updates, mit denen Apps ihre Berechtigung häufig noch erweitern. Entweder akzeptiert der Kunde die eingeforderten Berechtigungen oder er kann die App nicht nutzen.
Sollte er auch nicht, denn es gibt keinen Grund, warum eine angebliche Spiele-App beispielsweise SMS senden müsste. Und was auch immer die Begründung sein sollte, glauben Sie es nicht. So gab es eine App, die forderte die Berechtigung für SMS und Internet-Zugriff an. Weil das nicht verboten ist, kam sie durch die Google-Kontrolle. Doch lud diese App eine andere nach und die verschickte teuere Premium-SMS.
SMS zu erlauben ist auch aus einem anderen Grund ein grober Fehler. So werden neuerdings SMS versendet, die einen Link zu einem Spiel wie z.B. Angry Birds als kostenlose Vollversion versprechen aber tatsächlich das Android-Phone in ein BOT-Netz einbinden. Das versendet dann täglich so an die 100 Spam-Mails mit der Folge, dass das Handy ganz schnell auf Schleichfahrt geht.
In diesem Fall kommt noch hinzu, dass man auch noch das Installieren von Apps aus nicht vertrauenswürdigen Quellen erlauben muss, ein eh bodenloser Leichtsinn.
Neben diesen Malware-Programmen gibt es unzählige Fake-Apps, die zwar mit bekannten Namen oder beliebten Funktionen werben, aber keinen Schadcode enthalten. Die kosten zwar oft Geld, jedoch meist mit 79 oder 99 Cent deutlich weniger als die Originale. Das war’s dann aber auch. Ein paar dumme Sprüche, mehr gibt es nicht für’s Geld.
Ein übler Trick sind auch die Light-Versionen bekannter Programme. Die sind dann so weit eingeschränkt, dass sie praktisch kaum brauchbar sind. Und der teuere Update-Button lauert ganz dicht bei denen für das Spiel.
Ein anderer Trick sind In-App-Käufe. Diese meist in Spielen eingesetzte Methode versucht die Sucht und den Ehrgeiz der Spieler zu nutzen. So kann man im Abenteuerspielen wie Infinity Blade zusätzliches Spielgeld für echte Euro kaufen um damit seine Ausrüstung zu erweitern. Der größte Abzocker ist „Monster Pet Shop“. Die verlangen 79,99 echte Euro für einen Sack virtueller Monsterbeeren.
Also Vorsicht liebe Großmütter. Den Enkeln ein Smartphone zu schenken und versprechen die Rechnung zu zahlen kann teuer werden. Auch für Abos, etwa für Klingeltöne oder so einen totalen Unsinn wie eine verlängerte Akkulaufzeit, kann man viel Geld loswerden, z.B. 9,99 Euro/Monat über 2 Jahre. Seit August 2012 muss zwar die sog. Button-Lösung vorwarnen, aber das ist ein deutsches Gesetzt, Besser ist es seinen Provider anzurufen und das WAP-Billing abschalten zu lassen.
Zum Schluss die traurige Nachricht. Ich habe bisher behauptet, dass es keinen Virus gibt, der ohne Zutun des Users installiert werden kann. Nun aber gibt es in Geräten von Samsung eine Sicherheitslücke, über die bösartige Apps ohne Mitwirkung des Users eingeschleust werden können. Betroffen sind das Galaxy S2 und S3, Note, Note 2 und Note 10.1 sowie das Galaxy Tab 7.7.
Samsung verspricht ein Update, nennt aber keinen Termin. Einige Bastler bieten Workarounds an, vor denen ich nur warnen kann. Eine andere Lücke oder ein Ausfall der Kamera wären die Folgen. Besser ist es auf das Update zu warten und bis dahin gar keine Apps oder nur solche aus den offiziellen Quellen zu installlieren.
Autor:
WoSoft
Peter Wollschlaeger
Artikel Teilen
Artikel kommentieren